Passwörter sind immer noch ein zentrales Element zur Authentisierung von Nutzern. Deswegen ist Passwortsicherheit ein zentrales Thema bei technisch-organisatorischen Maßnahmen für den Datenschutz. Im Umgang mit Passwörtern gibt es viele wichtige Aspekte zu betrachten. Im Folgenden sollen einige Gedanken, Informationen und Tipps zum sicheren Umgang mit Passwörtern vorgestellt werden.
Gute Passwörter, schlechte Passwörter
Der Datenschutz beginnt schon mit der Auswahl eines guten bzw. starken Passwortes. Nur starke Passwörter bieten einen gewissen Schutz gegen den unberechtigten Zugang auf Datensysteme. Nachfolgend werden einige Beispiele für schwache und starke Passörter vorgestellt. Zusätzlich zu den Beispielen wird auch immer eine Bewertung der Passwortstärke angegeben. Diese Bewertung wurde mit dem Passwortchecker von Kaspersky [1] durchgeführt. Kaspersky schätzt dabei den erforderlichen Zeitaufwand für das Knacken mittels eines einzelnen Personal Computer und der Durchführung einer Bruteforce-Attacke. Professionelle Hacker verwenden wesentlich ausgeklügeltere Methoden und Algorithmen um Passwörter effizient und deutlich schneller zu knacken. Professionelle Hacker verfügen häufig auch über beachtliche Rechnerleistung zum Deshalb erlauben die mitgeteilten Zahlen von Kasperski nur eine grobe Bewertung der Stärke eines Passwortes.
Schlechte Passwörter
Zahlen- & Buchstabenfolgen
Logische Zahlen- oder Buchstabenfolgen sind extrem schlechte Passwörter. Diese logischen Zahlen- und Buchstabenfolgen können bereits „unabsichtlich“ durch gelangweilte Personen, die auf der Tastatur spielen geknackt werden.
| Zahlenfolgen | 12345678 | Kaspersky < 1 Sekunde |
| Buchstabenfolgen | abcdefghi | Kaspersky < 1 Sekunde |
Namen, Geburts- und Jahrestage
Namen von Familienangehörigen, Freunden und anderen Personen gerne auch in Kombination mit Geburts- oder Jahrestagen lassen sich schon in wenigen Sekunden bis Monaten knacken. Die größte Gefahr besteht häufig darin, dass diese Daten z.B. durch Social Engineering ermittelt oder erraten werden.
| Vorname | Manfred | Kaspersky ca. 2 Minuten |
| Vorname + Name | Manfred Mann | Kaspersky ca. 2 Monate |
| Name + Datum | Manfred1978 | Kaspersky ca. 3 Stunden |
| Name + langes Datum | Manfred 01012001 | Kaspersky ca. 10 Monate |
Lexikalische Begriffe
Beliebige Wörter aus dem Lexikon lassen sich ebenfalls schnell knacken und bieten keinen guten Schutz. Je nachdem wie ungewöhnlich das Wort ist wird mal mehr oder weniger Zeit für das Knacken benötigt.
| Lexikalischer Begriff | Stärke nach Kaspersky |
| Portfolio | Kaspersky ca. 2 Minuten |
| Zirkus | Kaspersky ca. 3 Stunden |
| ubiquitär | Kaspersky 4 Jahre |
| Epanadiplose | Kaspersky 25 Jahre |
Bessere Passwörter
Passwörter, die die auf einen Merksatz beruhen und sich so leichter merken lassen.
| Merksatz | Passwort | Stärke |
| Ein Passwort muss immer stark und sicher sein! | 1Pmis&ss! | Kaspersky ca. 4 Monate |
Im Beispiel wurde der Merksatz auch noch durch die Zahl 1 und und das Sonderzeichen & weiter kompliziert. Dadurch wird das Passwort noch ein Stückchen stärker.
Starke Passwörter
Je länger die Merksätze sind desto länger werden desto längere und stärkere Passwörter lassen sich auch damit bilden.
| Merksatz | Passwort | Stärke |
| Schleicht ein Passwort-Dieb auf Zehenspitzen in ein Büro um mein Passwort zu klauen? | S1P-Da10i1BumPzk? | Kasperski >1.000.000 Jahre |
Im Beispiel wurde der Passwortdieb als zwei Substantive mit einem Bindestrich geschrieben. Zusätzlich enthält dieses Passwort eine phonetische Analogie Zehen = 10. Dadurch wird schon ein sehr komplexes und auch sicheres Passwort gebildet.
Aber auch ein solche Komplexes durch einen Menschen aus einem Merksatz abgeleitetes Passwort kann mit etwas psychologischen Geschick ausgespäht und erraten werden.
Sehr starke Passwörter
Zufällige Kombinationen aus Zahlen, Buchstaben, Groß- und Kleinschreibung sowie Sonderzeichen lassen sich ebenfalls starke Passwörter bilden, die auch nicht durch geschickte Befragung des Menschen ausgespäht werden kann. Im Internet sind zahlreiche Passwortgeneratoren zu finden, die auch solche Zufallszeichen generieren.
| Zufällige Zeichenfolge | $D2FQj%=P(E?kg%9wl | Kasperski >1.000.000 Jahre |
Quellennachweis:
[1] Kaspersky Passwortchecker: https://password.kaspersky.com/de/